In questo tutorial imparerai la procedura di TLS/SSL installazione del certificato su Apache server web. Al termine, tutto il traffico tra server e client verrà crittografato. Questa è una pratica standard per proteggere i siti Web di e-commerce e altri servizi finanziari online. Crittografiamo è il pioniere nell'implementazione gratuita di SSL e in questo caso verrà utilizzato come fornitore di certificati.
Importante! CentOS Linux 8 ha raggiunto la fine della vita (EOL) il 31-12-2021. Sebbene CentOS Linux 7 sia ancora supportato, raggiungerà EOL il 30-06-2024. Ti consigliamo di tenerlo a mente quando scegli questo sistema operativo. Puoi leggere di più a riguardo nel loro sito Web ufficiale.
Di cosa avrai bisogno
Prima di iniziare questa guida avrai bisogno di quanto segue:
- Accesso root SSH a CentOS 7 VPS
- Il web server Apache con dominio e vhost correttamente configurati
Fase 1 — Installazione dei moduli dipendenti
Per installare certbot dovrai installare EPEL repository in quanto non è disponibile per impostazione predefinita, mod_ssl è necessario anche affinché la crittografia venga riconosciuta da Apache.
Per installare entrambe queste dipendenze, esegui questo comando:
yum install epel-release mod_ssl
Ora dovresti essere pronto per procedere ulteriormente e installare il certbot stesso.
Passaggio 2:download del client Let's Encrypt
Successivamente, installerai il client certbot dal repository EPEL:
yum install python-certbot-apache
Il certbot ora dovrebbe essere installato e disponibile per l'uso effettivo.
Fase 3:configurazione del certificato SSL
Certbot gestirà la gestione del certificato SSL abbastanza facilmente, genererà un nuovo certificato per il dominio fornito come parametro.
In questo caso verrà utilizzato example.com come dominio per il quale verrà emesso il certificato:
certbot --apache -d example.com
Se desideri generare SSL per più domini o sottodomini, esegui questo comando:
certbot --apache -d example.com -d www.example.com
Importante! Il primo dominio dovrebbe essere il tuo dominio di base, in questo esempio è example.com
Durante l'installazione del certificato ti verrà presentata una guida passo passo che ti consentirà di personalizzare i dettagli del certificato. Sarai in grado di scegliere tra forzare HTTPS o lasciare HTTP come protocollo predefinito, fornendo anche un indirizzo e-mail per motivi di sicurezza.
Una volta completata l'installazione, dovrebbe essere visualizzato un messaggio simile:
IMPORTANT NOTES: - If you lose your account credentials, you can recover through e-mails sent to [email protected]. - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2016-04-21. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - Your account credentials have been saved in your Let's Encrypt configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let's Encrypt so making regular backups of this folder is ideal. - If you like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Passaggio 4:impostazione del rinnovo automatico del certificato
I certificati Let's Encrypt hanno una validità di 90 giorni, ma ogni professionista del web ti consiglierà di rinnovarlo entro 60 giorni per evitare problemi. Per fare ciò, il certbot ci aiuterà con il suo renew comando. Verificherà se mancano meno di 30 giorni alla scadenza del certificato.
Si prega di eseguire questo comando per procedere:
certbot renew
Se il certificato installato è recente, il certbot verificherà solo la data di scadenza:
Processing /etc/letsencrypt/renewal/example.com.conf The following certs are not due for renewal yet: /etc/letsencrypt/live/example.com/fullchain.pem (skipped) No renewals were attempted.
Per automatizzare questo processo di rinnovo è possibile impostare un cron job. Innanzitutto, apri crontab:
crontab -e
Questo processo può essere pianificato in modo sicuro per l'esecuzione ogni lunedì a mezzanotte:
0 0 * * 1 /usr/bin/certbot renew >> /var/log/sslrenew.log
L'output dello script verrà inviato tramite pipe a /var/log/sslrenew.log file.
Conclusione
Hai appena protetto il tuo server Web Apache implementando la funzionalità di sicurezza più attesa:il certificato SSL gratuito! D'ora in poi tutto il traffico tra server e client è crittografato, puoi essere certo che nessuno potrà intercettare la comunicazione e alterare o rubare informazioni cruciali.